(sarlavha g'oyasi uchun Sergey G. Bresterga rahmat )
Hamkasblar, ushbu maqolaning maqsadi Aldash texnologiyalari asosidagi IDS yechimlarining yangi sinfini bir yil davomida sinovdan o'tkazish tajribasini almashishdir.
Materialni taqdim etishning mantiqiy izchilligini saqlab qolish uchun men binolardan boshlashni zarur deb bilaman. Shunday qilib, muammo:
- Maqsadli hujumlar, tahdidlarning umumiy sonidagi ulushi kichik bo'lishiga qaramay, hujumning eng xavfli turi hisoblanadi.
- Perimetrni (yoki bunday vositalar to'plamini) himoya qilishning kafolatlangan samarali vositalari hali ixtiro qilinmagan.
- Qoida tariqasida, maqsadli hujumlar bir necha bosqichda amalga oshiriladi. Perimetrni engib o'tish dastlabki bosqichlardan faqat bittasi bo'lib, u (siz menga tosh otishingiz mumkin) "jabrlanuvchi" ga katta zarar etkazmaydi, agar bu, albatta, DEoS (xizmatni yo'q qilish) hujumi (shifrlovchilar va boshqalar) bo'lmasa. .). Haqiqiy "og'riq" keyinroq, qo'lga kiritilgan aktivlar "chuqurlik" hujumini aylantirish va rivojlantirish uchun ishlatila boshlaganda boshlanadi va biz buni sezmadik.
- Biz tajovuzkorlar hujum nishonlariga (dastur serverlari, ma'lumotlar bazasi, ma'lumotlar omborlari, omborlar, muhim infratuzilma elementlari) etib borganlarida, biz haqiqiy yo'qotishlarga duchor bo'la boshlaganimiz sababli, axborot xavfsizligi xizmatining vazifalaridan biri hujumlarni hujumdan oldin to'xtatishdir. bu achinarli voqea. Ammo biror narsaga xalaqit berish uchun avvalo bu haqda bilib olishingiz kerak. Va qanchalik tezroq bo'lsa, shuncha yaxshi.
- Shunga ko'ra, xavfni muvaffaqiyatli boshqarish uchun (ya'ni, maqsadli hujumlardan zararni kamaytirish) minimal TTDni ta'minlaydigan vositalarga ega bo'lish juda muhimdir (aniqlash vaqti - hujum sodir bo'lgan paytdan boshlab hujum aniqlangan vaqtgacha). Sanoat va mintaqaga qarab, bu davr AQShda oΚ»rtacha 99 kun, EMEA mintaqasida 106 kun, APAC mintaqasida 172 kun (M-Trends 2017, A View From the Front Lines, Mandiant).
- Bozor nima taklif qiladi?
- "Sandboxlar". Yana bir profilaktik nazorat, bu idealdan uzoqdir. Sandboxlarni yoki oq ro'yxatga olish echimlarini aniqlash va chetlab o'tishning ko'plab samarali usullari mavjud. "Qorong'u tomon" yigitlari bu erda hali bir qadam oldinda.
- UEBA (xulq-atvorni aniqlash va og'ishlarni aniqlash tizimlari) - nazariy jihatdan juda samarali bo'lishi mumkin. Ammo, mening fikrimcha, bu uzoq kelajakda. Amalda, bu hali ham juda qimmat, ishonchsiz va juda etuk va barqaror IT va axborot xavfsizligi infratuzilmasini talab qiladi, bu allaqachon xatti-harakatlar tahlili uchun ma'lumotlarni ishlab chiqaradigan barcha vositalarga ega.
- SIEM tekshiruvlar uchun yaxshi vositadir, lekin u yangi va original narsani o'z vaqtida ko'ra olmaydi va ko'rsata olmaydi, chunki korrelyatsiya qoidalari imzolar bilan bir xil.
- Natijada, quyidagi vositalarga ehtiyoj bor:
- allaqachon buzilgan perimetr sharoitida muvaffaqiyatli ishlagan,
- foydalanilgan vositalar va zaifliklardan qat'i nazar, real vaqt rejimida muvaffaqiyatli hujumlarni aniqladi;
- imzolar/qoidalar/skriptlar/qoidalar/profillar va boshqa statik narsalarga bog'liq emas edi,
- tahlil qilish uchun katta hajmdagi ma'lumotlar va ularning manbalarini talab qilmadi;
- hujumlarni qo'shimcha tekshirishni talab qiladigan "dunyodagi eng yaxshi, patentlangan va shuning uchun yopiq matematika" ishi natijasida qandaydir xavf-xatarni baholash sifatida emas, balki amalda ikkilik hodisa sifatida aniqlashga imkon beradi - "Ha, bizga hujum qilishmoqda" yoki "Yo'q, hammasi joyida",
- U universal, samarali miqyosli va ishlatiladigan jismoniy va mantiqiy tarmoq topologiyasidan qat'i nazar, har qanday heterojen muhitda amalga oshirish mumkin edi.
Aldash deb ataladigan echimlar endi bunday vosita roli uchun kurashmoqda. Ya'ni, asal po'stlog'ining eski yaxshi kontseptsiyasiga asoslangan, ammo amalga oshirishning butunlay boshqacha darajasiga ega echimlar. Bu mavzu, albatta, hozir ko'tarilmoqda.
Natijalarga ko'ra Aldash yechimlari foydalanish tavsiya etiladigan TOP 3 ta strategiya va vositalarga kiritilgan.
Hisobotga ko'ra Aldash IDS Intrusion Detection Systems) yechimlarini rivojlantirishning asosiy yo'nalishlaridan biridir.
Ikkinchisining butun bir qismi , SCADA-ga bag'ishlangan ushbu bozorning etakchilaridan biri bo'lgan TrapX Security (Isroil) ma'lumotlariga asoslanadi, uning yechimi bizning sinov hududimizda bir yil davomida ishlamoqda.
TrapX Deception Grid sizga litsenziyalash yukini va apparat resurslariga bo'lgan talablarni oshirmasdan, ommaviy taqsimlangan IDSni markazlashtirilgan holda xarajat qilish va boshqarish imkonini beradi. Aslida, TrapX - bu mavjud IT infratuzilmasi elementlaridan korporativ miqyosdagi hujumlarni aniqlash uchun bitta yirik mexanizmni, tarqatilgan tarmoq "signalini" yaratishga imkon beruvchi konstruktor.
Yechim tuzilishi
Laboratoriyamizda biz doimo IT xavfsizligi sohasida turli xil yangi mahsulotlarni o'rganamiz va sinovdan o'tkazamiz. Hozirda bu yerda 50 ga yaqin turli virtual serverlar, jumladan TrapX Deception Grid komponentlari oΚ»rnatilgan.
Shunday qilib, yuqoridan pastga:
- TSOC (TrapX Security Operation Console) tizimning miyasi hisoblanadi. Bu markaziy boshqaruv konsoli bo'lib, u orqali konfiguratsiya, yechimni joylashtirish va barcha kundalik operatsiyalar amalga oshiriladi. Bu veb-xizmat bo'lgani uchun uni istalgan joyda - perimetrda, bulutda yoki MSSP provayderida joylashtirish mumkin.
- TrapX Appliance (TSA) - bu virtual server bo'lib, biz monitoring bilan qamrab olmoqchi bo'lgan pastki tarmoqlarni magistral port yordamida ulaymiz. Bundan tashqari, bizning barcha tarmoq sensorlarimiz aslida bu erda "yashaydi".
Bizning laboratoriyamizda bitta TSA o'rnatilgan (mwsapp1), lekin aslida ular ko'p bo'lishi mumkin. Bu segmentlar o'rtasida L2 aloqasi mavjud bo'lmagan yirik tarmoqlarda (odatiy misol - "Xolding va sho''ba korxonalar" yoki "Bankning bosh ofisi va filiallari") yoki tarmoqda izolyatsiya qilingan segmentlar, masalan, avtomatlashtirilgan jarayonni boshqarish tizimlari bo'lsa kerak bo'lishi mumkin. Har bir bunday filialda/segmentda siz o'zingizning TSAni joylashtirishingiz va uni barcha ma'lumotlar markazlashtirilgan tarzda qayta ishlanadigan yagona TSOCga ulashingiz mumkin. Ushbu arxitektura tarmoqni tubdan qayta qurish yoki mavjud segmentatsiyani buzmasdan turib, taqsimlangan monitoring tizimlarini qurish imkonini beradi.
Shuningdek, TAP/SPAN orqali TSAga chiquvchi trafik nusxasini yuborishimiz mumkin. Agar biz ma'lum botnetlar, buyruq va boshqaruv serverlari yoki TOR seanslari bilan ulanishlarni aniqlasak, natijani konsolda ham olamiz. Tarmoq razvedka sensori (NIS) buning uchun javobgardir. Bizning muhitimizda bu funksiya xavfsizlik devorida amalga oshiriladi, shuning uchun biz bu erda foydalanmadik.
- Ilova tuzoqlari (Full OS) - Windows serverlariga asoslangan an'anaviy honeypotlar. Sizga ularning ko'pchiligi kerak emas, chunki bu serverlarning asosiy maqsadi sensorlarning keyingi qatlamiga IT xizmatlarini taqdim etish yoki Windows muhitida joylashtirilishi mumkin bo'lgan biznes ilovalariga hujumlarni aniqlashdir. Laboratoriyamizda bitta server o'rnatilgan (FOS01)
- Emulyatsiya qilingan tuzoqlar yechimning asosiy komponenti bo'lib, bu bizga bitta virtual mashinadan foydalanib, tajovuzkorlar uchun juda zich "mina maydoni" yaratish va korxona tarmog'ini, uning barcha vlanlarini sensorlarimiz bilan to'ldirish imkonini beradi. Tajovuzkor bunday sensor yoki fantom xostni haqiqiy Windows shaxsiy kompyuteri yoki serveri, Linux serveri yoki biz unga ko'rsatishga qaror qilgan boshqa qurilma sifatida ko'radi.
Biznes manfaati va qiziqish uchun biz "har bir jonzotning juftligini" joylashtirdik - Windows shaxsiy kompyuterlari va turli versiyadagi serverlar, Linux serverlari, Windows o'rnatilgan bankomat, SWIFT Web Access, tarmoq printeri, Cisco. switch, Axis IP kamera, MacBook, PLC -qurilma va hatto aqlli lampochka. Hammasi bo'lib 13 ta xost mavjud. Umuman olganda, sotuvchi bunday sensorlarni haqiqiy xostlar sonining kamida 10% miqdorida joylashtirishni tavsiya qiladi. Yuqori satr mavjud manzil maydonidir.Juda muhim jihat shundaki, har bir bunday xost resurslar va litsenziyalarni talab qiladigan to'liq virtual mashina emas. Bu bir qator parametrlar va IP-manzilga ega bo'lgan TSA-dagi hiyla, emulyatsiya, bitta jarayon. Shuning uchun, hatto bitta TSA yordamida biz tarmoqni signalizatsiya tizimida sensor sifatida ishlaydigan yuzlab shunday fantom xostlar bilan to'ldirishimiz mumkin. Aynan shu texnologiya har qanday yirik taqsimlangan korxonada honeypot kontseptsiyasini iqtisodiy jihatdan samarali tarzda kengaytirish imkonini beradi.
Tajovuzkor nuqtai nazaridan, bu xostlar jozibador, chunki ular zaifliklarni o'z ichiga oladi va nisbatan oson nishonga o'xshaydi. Buzg'unchi ushbu xostlardagi xizmatlarni ko'radi va ular bilan o'zaro aloqada bo'lishi va standart vositalar va protokollar (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus va boshqalar) yordamida ularga hujum qilishi mumkin. Ammo bu xostlardan hujumni ishlab chiqish yoki o'z kodingizni ishga tushirish uchun foydalanish mumkin emas.
- Ushbu ikkita texnologiyaning kombinatsiyasi (FullOS va taqlid qilingan tuzoqlar) tajovuzkor ertami-kechmi signalizatsiya tarmog'imizning biron bir elementiga duch kelishining yuqori statistik ehtimolligiga erishishga imkon beradi. Ammo bu ehtimollik 100% ga yaqin ekanligiga qanday ishonch hosil qilishimiz mumkin?
Aldash tokenlari jangga kirishadi. Ularning yordami bilan biz korxonaning barcha mavjud shaxsiy kompyuterlari va serverlarini tarqatilgan IDSga kiritishimiz mumkin. Tokenlar foydalanuvchilarning haqiqiy shaxsiy kompyuterlariga joylashtiriladi. Tokenlar resurslarni iste'mol qiladigan va nizolarni keltirib chiqarishi mumkin bo'lgan agentlar emasligini tushunish muhimdir. Tokenlar passiv ma'lumot elementlari bo'lib, hujum qilayotgan tomonni tuzoqqa olib boradigan o'ziga xos "non bo'laklari". Masalan, xaritalangan tarmoq drayverlari, brauzerda soxta veb-administratorlar uchun xatcho'plar va ular uchun saqlangan parollar, saqlangan ssh/rdp/winscp seanslari, xostlar fayllaridagi sharhlar bilan tuzoqlarimiz, xotirada saqlangan parollar, mavjud bo'lmagan foydalanuvchilarning hisob ma'lumotlari, ofis fayllar, tizimni ishga tushiradigan ochilish va boshqalar. Shunday qilib, biz tajovuzkorni buzuq muhitga joylashtiramiz, hujum vektorlari bilan to'yingan, ular aslida bizga tahdid solmaydi, aksincha. Va u ma'lumot qayerda haqiqat va qayerda yolg'on ekanligini aniqlashning imkoni yo'q. Shunday qilib, biz nafaqat hujumni tez aniqlashni ta'minlaymiz, balki uning rivojlanishini sezilarli darajada sekinlashtiramiz.
Tarmoq tuzog'ini yaratish va tokenlarni o'rnatish misoli. Do'stona interfeys va konfiguratsiyalar, skriptlar va boshqalarni qo'lda tahrirlashning hojati yo'q.
Bizning muhitimizda biz Windows Server 01R2012 operatsion tizimida ishlaydigan FOS2 va Windows 7 operatsion tizimida ishlaydigan sinov kompyuterida bir qator shunday tokenlarni sozladik va joylashtirdik. RDP bu mashinalarda ishlaydi va biz ularni vaqti-vaqti bilan bir qator sensorlarimiz boβlgan DMZga βosib qoβyamizβ. (taqlid qilingan tuzoqlar) ham ko'rsatiladi. Shunday qilib, biz doimiy ravishda voqealar oqimiga ega bo'lamiz, tabiiyki.
Shunday qilib, yil uchun bir nechta tezkor statistika:
56 208 - qayd etilgan hodisalar,
2 β hujum manbalari xostlari aniqlandi.
Interaktiv, bosiladigan hujum xaritasi
Shu bilan birga, yechim qandaydir mega-log yoki voqealar tasmasini yaratmaydi, buni tushunish uchun uzoq vaqt talab etiladi. Buning o'rniga, yechimning o'zi hodisalarni turlari bo'yicha tasniflaydi va axborot xavfsizligi guruhiga birinchi navbatda eng xavflilariga e'tibor qaratish imkonini beradi - tajovuzkor nazorat seanslarini (o'zaro ta'sirni) ko'tarishga harakat qilganda yoki bizning trafikimizda ikkilik foydali yuklar (infeksiya) paydo bo'lganda.
Voqealar haqidagi barcha ma'lumotlar o'qilishi mumkin va mening fikrimcha, axborot xavfsizligi sohasida asosiy bilimga ega foydalanuvchi uchun ham tushunarli shaklda taqdim etiladi.
Yozib olingan hodisalarning aksariyati bizning xostlarimiz yoki bitta ulanishlarni skanerlashga urinishdir.
Yoki RDP uchun parollarni qo'pol kuch ishlatishga urinish
Ammo, ayniqsa, tajovuzkorlar RDP uchun parolni topishga va mahalliy tarmoqqa kirishga "muvaffaqiyatli" bo'lganida, qiziqroq holatlar ham bor edi.
Buzg'unchi psexec yordamida kodni bajarishga harakat qiladi.
Buzg'unchi saqlangan seansni topdi, bu esa uni Linux serveri ko'rinishidagi tuzoqqa olib keldi. Ulanishdan so'ng darhol bitta oldindan tayyorlangan buyruqlar to'plami bilan u barcha jurnal fayllarini va tegishli tizim o'zgaruvchilarini yo'q qilishga harakat qildi.
Buzg'unchi SWIFT Web Accessni taqlid qiluvchi honeypotda SQL in'ektsiyasini amalga oshirishga harakat qiladi.
Bunday "tabiiy" hujumlardan tashqari, biz o'zimizning bir qator sinovlarimizni ham o'tkazdik. Eng oshkoralardan biri bu tarmoqdagi qurtni aniqlash vaqtini sinab ko'rishdir. Buni amalga oshirish uchun biz GuardiCore deb nomlangan vositadan foydalandik . Bu Windows va Linux-ni o'g'irlashi mumkin bo'lgan tarmoq qurti, lekin hech qanday "foydali yuk"siz.
Biz mahalliy boshqaruv markazini joylashtirdik, mashinalardan birida qurtning birinchi nusxasini ishga tushirdik va TrapX konsolida bir yarim daqiqadan kamroq vaqt ichida birinchi ogohlantirishni oldik. O'rtacha 90 kunga nisbatan TTD 106 soniya...
Boshqa yechimlar sinflari bilan integratsiya qilish qobiliyati tufayli biz tahdidlarni tezda aniqlashdan ularga avtomatik javob berishga o'tishimiz mumkin.
Masalan, NAC (Network Access Control) tizimlari yoki CarbonBlack bilan integratsiya sizga buzilgan shaxsiy kompyuterlarni tarmoqdan avtomatik ravishda uzish imkonini beradi.
Sandboxlar bilan integratsiya hujumda ishtirok etgan fayllarni avtomatik ravishda tahlil qilish uchun yuborish imkonini beradi.
McAfee integratsiyasi
Yechim, shuningdek, o'z o'rnatilgan hodisalar korrelyatsiya tizimiga ega.
Ammo biz uning imkoniyatlaridan qoniqmadik, shuning uchun biz uni HP ArcSight bilan birlashtirdik.
O'rnatilgan chiptalar tizimi butun dunyoga aniqlangan tahdidlarni engishga yordam beradi.
Yechim davlat idoralari va yirik korporativ segment ehtiyojlari uchun "boshidan" ishlab chiqilganligi sababli, u tabiiy ravishda rolga asoslangan kirish modelini, AD bilan integratsiyani, ishlab chiqilgan hisobotlar va triggerlar tizimini (hodisalar haqida ogohlantirishlar), orkestratsiyani amalga oshiradi. yirik xolding tuzilmalari yoki MSSP provayderlari.
Resurs o'rniga
Agar majoziy ma'noda bizning orqamizni qoplaydigan bunday monitoring tizimi mavjud bo'lsa, perimetrning murosasi bilan hamma narsa endi boshlanmoqda. Eng muhimi, axborot xavfsizligi intsidentlari bilan kurashish uchun haqiqiy imkoniyat bor, ularning oqibatlari bilan kurashish emas.
Manba: www.habr.com